Sélection de la langue

Government of Canada / Gouvernement du Canada

Considérations liées à la cybersécurité pour l’utilisation de drones

Les drones sont des systèmes de véhicules mobiles qui peuvent fonctionner de manière autonome ou semi autonome, sans intervention humaine. Selon leur conception et leur fonction, on les appelle aussi des systèmes télécommandés, des systèmes d’aéronefs télépilotés, ou des véhicules terrestres ou sous marins sans équipage.

Avant de déployer un drone, il convient de mener une évaluation des menaces et des risques. L’évaluation permettra de repérer les menaces possibles à la sécurité et de déterminer les mesures de cybersécurité à prendre pour les atténuer. En comprenant les risques associés à l’utilisation de drones à des fins commerciales ou opérationnelles, votre organisation sera plus en mesure de protéger ses systèmes, ses données et ses réseaux.

Sur cette page

Types de drones

Il existe de nombreux styles de drones, ayant des formes différentes et servant à diverses fins. Ils se classent généralement en trois types principaux selon leur conception et leur utilisation prévue (commerciale, maison et professionnelle).

Drones commerciaux

Les drones commerciaux sont produits par des organisations commerciales et servent à soutenir les activités des entreprises et des particuliers. Ces drones ont des applications très diverses, selon le domaine ou le secteur d’activités. La photographie aérienne, la pulvérisation agricole et la livraison de colis en sont des exemples. Ils sont généralement fabriqués à partir de pièces de base acquises auprès de chaînes d’approvisionnement à faible sécurité.

Drones maison

Les drones maison sont créés et fabriqués par des personnes, souvent à des fins personnelles. Ces drones peuvent également être fabriqués par des organisations et utilisés pour contrôler des fonctions qui seraient habituellement gérées par des tiers. Ils sont généralement fabriqués à partir d’une combinaison de matériel, de logiciels et de pièces sur mesure, ce qui permet de suivre davantage les chaînes d’approvisionnement.

Drones professionnels

Les drones professionnels sont utilisés dans les milieux critiques, comme les forces armées et les opérations de recherche et sauvetage. Ces drones sont utilisés pour exécuter certaines tâches, comme la surveillance périmétrique, les interventions d’urgence et les inspections industrielles. Ils comportent habituellement des composants qui assurent un suivi et un contrôle totaux du contenu de la chaîne d’approvisionnement.

Les drones professionnels peuvent être utilisés à de nombreuses fins, notamment :

  • les loisirs;
  • la surveillance;
  • le commerce;
  • la collecte de données;
  • la surveillance et l’inspection des infrastructures;
  • les interventions en cas d’urgence;
  • la sécurité publique;
  • la protection.

Fonctionnement des drones

Les drones peuvent fonctionner sans connexion physique à un contrôleur (p. ex. non captif et à distance). Ils fonctionnent de manière semi autonome au moyen de contrôles de la stabilité, en suivant une trajectoire préprogrammée ou par action humaine. Certains drones permettent des modes de fonctionnement entièrement autonomes, en utilisant des systèmes embarqués pour naviguer et effectuer des tâches sans intervention humaine en temps réel. Les drones qui suivent un modèle sont un exemple de mode autonome. Certains drones se connectent à Internet ou exigent que les données soient transmises par Internet. La plupart d’entre eux comptent sur les systèmes satellites pour leur fournir des services de localisation GPS et de synchronisation.

La fonctionnalité d’un drone est prise en charge par deux composants principaux : les systèmes embarqués et les systèmes non embarqués.

Voici des exemples de systèmes embarqués :

  • Ordinateur de commande centrale
  • Modules de communication
  • Contrôles des mouvements et de la stabilité
  • Outils de localisation et de navigation (système GPS, capteurs visuels et acoustiques)
  • Outils de collecte de données (caméras, microphones)

Voici des exemples de systèmes non embarqués :

  • Station de commande (ordinateur, dispositif mobile)
  • Interface utilisateur pour la surveillance et l’émission de commandes
  • Systèmes de présentation et de stockage des données

Risques associés aux drones

Les drones sont vulnérables à diverses cybermenaces qui peuvent compromettre leur fonctionnalité et les données qu’ils recueillent. Plus particulièrement, les drones peuvent poser un risque important pour votre organisation lorsqu’ils sont connectés directement ou indirectement à votre réseau. Ce sont des dispositifs non fiables, c’est à dire que les auteurs de menace peuvent utiliser leur connexion comme vecteur d’attaque ou pour accéder à distance à votre environnement.

Un autre risque commun concerne les drones induits en erreur par les entraves à la navigation par satellite. Par exemple, les signaux peuvent être brouillés ou usurpés pour créer de faux signaux et empêcher les communications d’atteindre le drone. Cela peut faire dévier le drone sans qu’il se rende compte du changement de trajectoire. L’interférence électromagnétique involontaire peut également perturber les signaux de communication des drones.

Si votre drone est compromis, les auteurs de menace pourraient :

  • prendre les commandes du drone de la personne autorisée à le diriger;
  • voler les mécanismes d’authentification et de chiffrement utilisés par les drones pour obtenir l’accès;
  • acquérir des images, l’emplacement de la personne qui dirige le drone et d’autres données saisies par les capteurs;
  • accéder à de l’information sensible au moyen d’images de drones qui contiennent des métadonnées, révélant les activités opérationnelles (p. ex. estampilles temporelles et coordonnées de localisation);
  • exploiter les vulnérabilités d’autres systèmes en injectant des maliciels.

Risques liés à l’intelligence artificielle

Les drones dotés de fonctions d’intelligence artificielle (IA) peuvent être vulnérables à différents modes d’attaque. Les entrées manipulées dans le drone peuvent amener les modèles d’IA à mal interpréter les données, ce qui peut mener à de mauvaises décisions. Voici des exemples d’attaques liées à l’IA.

Manipulation des données

Les images peuvent être manipulées pour tromper les systèmes de navigation intelligents en modifiant les entrées capteur ou les objets physiques. Cela peut amener les systèmes de navigation à mal interpréter l’information et pourrait entraîner des résultats opérationnels imprévus ou non souhaités.

Empoisonnement de données

Les auteurs de menace peuvent corrompre les données de formation au moyen d’attaques par empoisonnement de données. Cela peut entraîner la prise de mauvaises décisions en matière d’IA.

Attaque en essaim

Les auteurs de menace peuvent mener des attaques en essaim qui permettent à plusieurs drones dotés de l’IA de fonctionner de manière autonome et de coordonner leurs actions pour écraser les défenses.

Attaque par déni de service

Les auteurs de menace peuvent obtenir un accès non autorisé en vue d’exécuter des codes arbitraires (p. ex. au moyen de commandes ou de codes pour désactiver le drone ou son processus) en raison de vulnérabilités logicielles traditionnelles.

Risques liés aux plateformes de gestion et aux logiciels

Les plateformes de gestion des drones de même que les logiciels utilisés pour exploiter et gérer les drones comptent sur les éléments suivants :

  • Connexions à distance
  • Plateformes infonuagiques
  • Capteurs de données de télémétrie de vol
  • Infrastructure infonuagique

Ces plateformes et logiciels peuvent exposer vos drones et vos données à d’autres menaces. S’ils sont compromis, vos drones et vos données risquent de se faire voler leurs images et leurs coordonnées, de perdre le contrôle et de perdre de l’information sensible. Certaines de ces plateformes peuvent recourir à des justificatifs d’authentification sensibles utilisés pour accéder à des niveaux de sécurité plus élevés, ce qui peut présenter un risque accru pour vos données en cas de compromission.

Éléments à prendre en compte dans la sélection d’un fournisseur

Au moment de sélectionner un fournisseur ou un fabricant de drones, il convient de poser des questions liées à la cybersécurité, comme les suivantes :

  • Le fabricant de drones adopte t il des pratiques de sécurité dès la conception et la sécurité par défaut?
    • Les produits qui intègrent la sécurité dès la conception et la sécurité par défaut priorisent la sécurité des clients comme exigence opérationnelle de base
  • Comment le drone réduit il les effets des attaques par usurpation et par brouillage des satellites?
  • Le drone, le contrôleur et les périphériques ont ils fait l’objet d’une analyse des vulnérabilités? Les conclusions de cette analyse ont elles été communiquées par un tiers indépendant certifié?
  • Peut on obtenir une liste des dépendances et des composants utilisés dans l’application logicielle auprès du fabricant?
    • Cela s’impose pour tenir compte de la portée des vulnérabilités ou des mesures d’atténuation dans le logiciel utilisé pour le drone et les systèmes connexes.
  • Peut on obtenir des renseignements sur la chaîne d’approvisionnement concernant le drone et les périphériques?
    • La connaissance des chaînes d’approvisionnement utilisées dans la fabrication du drone et du système connexe fournit de l’information sur les vulnérabilités potentielles.
  • Quels documents peut on consulter pour s’assurer que les méthodes de chiffrement appropriées ont été validées, appliquées et soumises à des essais rigoureux?

En ce qui concerne la fonctionnalité utilisateur et les mesures de sécurité que vous pourriez devoir suivre, il importe de tenir compte des questions suivantes :

  • Le drone, le contrôleur et les périphériques exigent ils des mises à jour fréquentes?
    • Les micrologiciels et les logiciels ne doivent être mis à jour qu’en cas de nécessité (p. ex. pour installer des correctifs de sécurité).
    • Effectuer des mises à jour sur les systèmes distincts et isolés afin de protéger les opérations et les renseignements sensibles.
  • Peut on inverser les mises à jour des micrologiciels du drone, du contrôleur et des périphériques ou restaurer la version précédente?
    • Avant d’installer les correctifs, veuillez passer en revue les renseignements connexes pour connaître les éléments de sécurité qui s’imposent, car les mises à jour peuvent comprendre des caractéristiques indésirables ou ajouter d’autres vulnérabilités.
  • Doit on installer des pilotes et des logiciels propriétaires sur les systèmes pour traiter les données avec le drone?
    • Un dispositif ayant accès à vos systèmes pourrait exposer ces derniers à des auteurs de menace.
  • Le micrologiciel ou tout autre logiciel utilisé pour contrôler le drone ou interagir avec celui ci peut il être soumis à une analyse statique du code (p. ex. l’examen du code source pour cerner les vulnérabilités)?
    • Cette mesure renforce la cybersécurité et permet à divers tiers de procéder à la numérisation et à l’analyse pour détecter les vulnérabilités.
  • Utilise-t-on un chiffrement fort pour stocker et transmettre des images saisies par des drones?
    • Le chiffrement permet de sécuriser les données stockées sur un drone et transférées vers celui ci et en provenant.
  • Le drone peut il stocker des images et des données en utilisant la mémoire embarquée (p. ex. une carte SD)?
    • Il peut être plus sûr de recourir à un périphérique sécurisé, plutôt qu’à un logiciel propriétaire, pour stocker des données et les importer vers un dispositif externe scanné.
  • Le drone, le contrôleur et les périphériques se connectent ils à une plateforme infonuagique?
    • La connexion à une plateforme infonuagique peut introduire des vulnérabilités et des menaces liées au nuage.

Considérations relatives aux drones maison

Si vous choisissez de créer ou d’utiliser un drone maison, il convient de tenir compte des mesures de cybersécurité suivantes :

  • S’assurer que le code source est de source ouverte et qu’il a été vérifié par une organisation certifiée.
  • Veiller à appliquer des pratiques de chiffrement rigoureuses pour coder les images stockées et transmises.
  • Soumettre le drone à des tests exhaustifs et apporter des améliorations au besoin.
  • Envisager le recours à des systèmes redondants (p. ex. s’assurer que le système fonctionnera au besoin en cas de défaillance d’une ou de plusieurs pièces).
  • S’assurer qu’il existe des systèmes de prise en charge à distance d’urgence aux fins de supervision humaine.
  • S’assurer que l’architecture de système est bien documentée et qu’elle comprend tous les composants.
  • Surveiller et consigner les activités aux fins d’amélioration continue des mesures de sécurité (p. ex. intervention en cas d’incident).

Sécuriser son drone

De nombreuses considérations liées à la cybersécurité doivent être prises en compte dans la configuration et la sécurisation de votre drone. Les mesures suivantes peuvent renforcer la sécurité de votre drone et de vos données :

  • Utiliser, pour le drone, un contrôleur spécialisé ou autonome plutôt qu’un dispositif mobile servant à d’autres fins.
  • Établir une zone ou un environnement isolé pour l’utilisation de drones afin de pouvoir surveiller et contrôler l’accès au réseau.
  • S’assurer que les réseaux qu’utilisent les drones et les systèmes connexes sont séparés des réseaux utilisés par d’autres systèmes fiables pour isoler la menace d’autres environnements sensibles.
  • Recourir à un chiffrement fort pour sécuriser les données transférées vers le dispositif et en provenant.
  • Configurer un environnement isolé séparé et sécurisé pour transférer, installer et analyser les données enregistrées et les applications requises (p. ex. mises à jour et correctifs).
  • Pour transférer des données sensibles, utiliser une carte SD ou un périphérique externe plutôt que des connexions en nuage.
  • Désactiver les connexions en nuage par défaut.
    • Si le recours au nuage s’avère nécessaire, utiliser des plateformes infonuagiques locales dotées d’un chiffrement fort pour protéger les données en transit et au repos.
  • Atténuer les attaques par brouillage ou usurpation en intégrant des outils (p. ex. des systèmes microélectromécaniques ou câbles à fibres optiques) qui reconnaissent d’autres signaux et peuvent être utilisés pour d’autres méthodes de guidage.

Il convient d’envisager le recours aux outils de sécurité suivants pour assurer la vigilance et surveiller les données et les activités de votre drone :

  • Prendre note des renseignements auxquels le drone pourrait avoir accès et qui pourraient être communiqués à des tiers lors de la configuration de votre dispositif.
  • Faire attention à la nature des données transmises à des serveurs à distance et utiliser un réseau privé virtuel pour transférer les données.
  • Demander une copie du code source du micrologiciel et des autres logiciels de drone afin que l’équipe des TI puisse en effectuer une analyse statique.
  • Demander l’attestation d’une évaluation des vulnérabilités exhaustive effectuée par un tiers.
  • Surveiller les activités suspectes en mettant en place un système de détection et de prévention d’intrusion sur le réseau utilisé par les drones pour détecter et bloquer immédiatement le trafic.
  • Utiliser des journaux de surveillance pour indiquer les vulnérabilités, sécuriser davantage l’information sensible et appliquer des correctifs là où une sécurité accrue s’impose.
  • Implanter une architecture à vérification systématique pour le traitement des données sensibles et pour atténuer les risques liés à l’IA.

Pour en savoir plus

Date de modification :